Last update 2011.06.12
PPPoE(IPマスカレード)上にVPNのせると場合こんな感じです。
# For YAMAHA RT140e Rev.6.02.04
#
###### インターネット側設定
# Network ID = [PublicNetworkID]
# CIDR = [PublicCIDR]
# DNS Server = [dns server]
# NTP Server = [ntp server]
# ドメイン名 = [domain name]
#
###### LAN側設定
# Network ID = [MyPrivateNetworkID]
# CIDR = [MyPrivateCIDR]
# RouterのIPアドレス = [MyPrivateRouter]
# DHCP 開始IPアドレス = [DHCP Start]
# DHCP 終了IPアドレス = [DHCP End]
# ルータパスワード = [RouterPassword]
# Syslog Host = [syslog server]
#
###### VPN設定
# VPN対向ルータ = [PairPublicRouter]
# VPN対向プライベートIP = [PairPrivateID]
# VPN対向プライベートCIDR = [PairPrivateCIDR]
# VPN仮キー = [VPN-FalsenessKey]
#
###### PPPoE設定
# PPPoE UserID = [PPPoE ID]
# PPPoE Password = [PPPoE PASSWORD]
#
#########################################################
# 環境
#########################################################
# Password
login password
[RouterPassword]
[RouterPassword]
administrator password
[RouterPassword]
[RouterPassword]
# セキュリティクラス
security class 2 off off
# 表示カラム拡大
console columns 200
# スクロールノンストップ
console lines infinity
# ルータの IP アドレス
ip lan1 address [MyPrivateRouter]/[MyPrivateCIDR]
# Syslog
syslog notice on
# syslog サーバが存在する場合は有効にする
# syslog host [syslog server]
# DNS
dns domain [domain name]
dns syslog resolv on
# DNSサーバIPアドレスがキャリア側から取得出来る時は無効にしても良い
dns server [dns server]
# 時刻合わせスケジュール
schedule at 1 */* *:15 * ntpdate [ntp server]
# PPPoE/トンネル再接続スケジュール
schedule at 2 startup pp 1 connect 1
schedule at 3 */* *:00 pp 1 connect 1
schedule at 4 startup tunnel 1 connect 1
schedule at 5 */* *:00 tunnel 1 connect 1
#########################################################
# DHCP
#########################################################
dhcp service server
dhcp scope 1 [DHCP Start]-[DHCP End]/[MyPrivateCIDR]
#########################################################
# 1-19 プライベート ループバック 自己空間 その他
#########################################################
# 送信元が自己アドレス空間
ip filter 1 reject [PublicNetworkID]/[PublicCIDR] * * * *
# 宛先が自己アドレス空間
ip filter 2 reject * [PublicNetworkID]/[PublicCIDR] * * *
# 送信元がプライベトー or ループバック
ip filter 3 reject 192.168.0.0/16 * * * *
ip filter 4 reject 172.16.0.0/12 * * * *
ip filter 5 reject 10.0.0.0/8 * * * *
ip filter 6 reject 127.0.0.0/24 * * * *
# 宛先がプライベトー or ループバック
ip filter 7 reject * 192.168.0.0/16 * * *
ip filter 8 reject * 172.16.0.0/12 * * *
ip filter 9 reject * 10.0.0.0/8 * * *
ip filter 10 reject * 127.0.0.0/24 * * *
#########################################################
# 20-49 個別通過
#########################################################
ip filter 20 pass * [MyPrivateNetworkID]/[MyPrivateCIDR] established * *
ip filter 21 pass * [MyPrivateNetworkID]/[MyPrivateCIDR] tcp,udp * 53,113
ip filter 22 pass * [MyPrivateNetworkID]/[MyPrivateCIDR] tcp,udp 20,53,123 *
ip filter 23 pass * [MyPrivateNetworkID]/[MyPrivateCIDR] icmp-error * *
# 特別に通させたいパケットがあればここに記述
#########################################################
# 50-69 VPNパケット通過
#########################################################
ip filter 50 pass [PairPublicRouter] [MyPrivateRouter] esp * *
ip filter 51 pass [PairPublicRouter] [MyPrivateRouter] udp 500 *
ip filter 52 pass [PairPublicRouter] [MyPrivateRouter] udp * 500
ip filter 53 pass [MyPrivateRouter] [PairPublicRouter] esp * *
ip filter 54 pass [MyPrivateRouter] [PairPublicRouter] udp 500 *
ip filter 55 pass [MyPrivateRouter] [PairPublicRouter] udp * 500
#########################################################
# 70-90 セキュリティアップ
#########################################################
ip filter 70 reject * * tcp,udp * 1,7,11,15,43,67-70,79,87,95,109
ip filter 71 reject * * tcp,udp * 111,135,137-139,144,161-162,177,220,445,512-515,517-518
ip filter 72 reject * * tcp,udp * 520,540-541,568-569,1025,1433-1434,1477-1478,1512,1755,1801,2000
ip filter 73 reject * * tcp,udp * 2049,2393-2394,2525,2766,3268-3269,3389,5631-5632,8080,11111,12345
ip filter 74 reject * * tcp,udp * 31337,6000-6999
#########################################################
# 90-99 予備
#########################################################
#########################################################
# 100 etc
#########################################################
ip filter 100 pass * * * * *
ip filter source-route on
ip filter directed-broadcast on
#########################################################
# インターネット接続
#########################################################
nat descriptor type 1 masquerade
pp select 1
pppoe use lan2
pppoe auto connect on
pp auth accept chap pap
pp auth myname [PPPoE ID] [PPPoE PASSWORD]
ppp ipcp ipaddress on
# DNSサーバアドレスがキャリア側から取得出来る時は有効にしても良い
# ppp ipcp msext on
ip pp nat descriptor 1
ppp lcp mru on 1454
ip pp mtu 1454
ppp ccp type none
# 侵入検知
ip pp intrusion detection in on reject=on
ip pp intrusion detection out on
# パケットフィルタリング実装
ip pp secure filter in 1 3 4 5 6 20 21 22 23 50 51 52 70 71 72 73 74
ip pp secure filter out 2 7 8 9 10 53 54 55 70 71 72 73 74 100
pp enable 1
ip route default gateway pp 1
#########################################################
# VPN 接続
#########################################################
ipsec auto refresh on
nat descriptor masquerade static 1 1 [MyPrivateRouter] udp 500
nat descriptor masquerade static 1 2 [MyPrivateRouter] esp
ip route [PairPrivateID]/[PairPrivateCIDR] gateway tunnel 1
ipsec ike remote address 1 [PairPublicRouter]
ipsec ike pre-shared-key 1 text [VPN-FalsenessKey]
ipsec sa policy 101 1 esp des-cbc md5-hmac
ipsec sa policy 102 1 esp des-cbc md5-hmac
ipsec transport 1 102 esp * *
tunnel select 1
ipsec tunnel 101
tunnel enable 1
#########################################################
# 保存と再起動
#########################################################
save
restart
セキュリティポリシーはこちら。
Copyright © MURA All rights reserved.